[INFO] DoublePulsar : La porte dérobée de la NSA peut désormais être désinstallée à distance

Le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur les publications du groupe Shadow Brokers et notamment sur l’actualité concernant l’implant « DoublePulsar ».


Description :

Les récentes publications du groupe de pirates Shadow Brokers ont révélé plusieurs codes d’exploitations utilisés par la NSA (cf. bulletin CXA-2017-1577). Certains de ces outils permettent de compromettre à distance des postes Windows vulnérables, notamment d’injecter des charges utiles sur les systèmes Windows sur lesquels les correctifs associés au bulletin de sécurité MS17-010 de Microsoft n’ont pas été installés.

La charge utile par défaut s’appelle « DoublePulsar ». Il s’agit d’un implant Windows permettant à l’attaquant de disposer d’un accès à la machine compromise et ainsi d’exécuter des commandes à distance. Suite à la publication des Shadow Brokers, le nombre de machines compromises à l’aide de « DoublePulsar » augmente de jour en jour (cf. bulletin CXN-2017-1613). La première estimation de Microsoft évaluait à 10 000 le nombre de machines infectées. Cependant, l’entreprise « Below0day » a publié les résultats d’un scan ayant détecté plus de 56 586 machines. Ce nombre semble donc augmenter rapidement.

Ces informations ont été obtenues au moyen d’un script (disponible publiquement et développé par la société « Countercept ») permettant de tester la présence de l’implant à partir de l’adresse IP d’un poste Windows. La société a récemment ajouté une nouvelle fonctionnalité à son script : il est désormais possible de désinstaller l’implant à distance si celui-ci a été détecté. Pour cela, le script utilise tout simplement la commande de suppression proposée par l’implant, celui-ci ne nécessitant aucune authentification pour être contrôlé.

Il apparait clairement que ce nouveau script sera utile aux administrateurs système soucieux de détecter, voir de supprimer les menaces présentes au sein de leurs systèmes d’information. Il est par ailleurs possible que quelqu’un se charge d’ici peu de scanner la totalité d’internet pour procéder à une suppression de masse de cette porte dérobée sur l’ensemble des postes infectés détecté, même si ce type d’opération est contraire à la plupart des juridictions.

Note : le script de détection/suppression de l’implant est disponible à l’adresse suivante :


Référence :

Référence CERT-XMCO :

CXN-2017-1661

Adrien Guinault

Découvrir d'autres articles